ASPIC公式サービス【アスピック】

  • TOP
  • 特集記事
  • WAFの比較!特徴的な7選。性能・運用・価格どれを重視?

WAFの比較!特徴的な7選。性能・運用・価格どれを重視?

WAFの比較!特徴的な7選。性能・運用・価格どれを重視?

2019-10-28

企業がWebサイトを運営するのであれば脆弱性攻撃などによる情報漏えいを防ぐためにWAFの導入はもはや必須です。ここではどのようなタイプのWAFを入れるべきか、WAFを選ぶ際に意識することは何か、どのようなサービスがあるのかをご紹介します。

目次

 

WAFとは?

WAFとは、Webアプリケーションファイアウォール(Web Application Firewall)の略称であり、HTTPS/HTTPで通信されるWebサイトへの悪意のある攻撃を検知・防御するサービスです。悪意のある攻撃は、シグネチャと呼ばれる予め想定した攻撃パターンと通信を照合させることで把握し、攻撃と見なせる場合は、アラート通知や通信ブロックを行います。

Webサイトへの代表的な攻撃手法としては、Webサイトの脆弱性を狙ったSQLインジェクションやクロスサイトスクリプティング、DDoS攻撃、IDやパスワード入力を総当たりで試すブルートフォース攻撃などが挙げられます。これら攻撃を防ぐために一切の脆弱性がないようWebアプリケーションを万全に開発することは大事ですが、脆弱性が全くない、完璧な状態にするのも非常に困難なため、攻撃を防ぐ手段としてWAFの利用がもはや一般的となっています。

WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

WAFの資料をダウンロード

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

 

自社に適したWAFとは?WAFのタイプと使い分け方。

WAFには主に3つのタイプがあり、セキュリティ、通信性能、導入・運用のしやすさで自社に適したWAFを選ぶことになります。

1. アプライアンス型WAFの使い分け

専用のハードウェアにWAFを組み込んだアプライアンス型WAF は、主には自社ネットワークの中に設置して利用します。アプライアンス型WAFは、高速処理のためにハードウェアを最適化させているとともに、自社専用でリソース全てを使えるため、安定した高速通信が必要な場合は特に向いています。

2. クラウド型WAFの使い分け

クラウド型のWAFは、自社のネットワーク構成を変える必要がない、導入しやすいタイプです。手間のかかる初期設定や検知対象の微調整などはサービス提供者側がリモートで設定することも可能なため、運用負担も抑えられます。ただし、他Webサイトとリソースを共有するため、大規模Webサイトを有して、高速にアクセス処理を行う必要がある場合など性能重視の場合は他のタイプの方が適しています。

3. ソフトウェアインストール型の使い分け

WAFのソフトウェアを自社でサーバー上に構築して運用するタイプです。インストールや運用だけでなく、セキュリティポリシーの設定やシグネチャの更新などが必要(アプライアンス型WAFも同様)になりますので、一定の手間はかかります。ただし、設定の自由度の高さや、小規模であればWebサイトのWebサーバーに同居して利用することもできますので、自社運用でも問題がなければ使い勝手の良いタイプです。

 

WAFの比較のポイント

①Webサイトの処理性能への影響

Webサイトへのアクセスが多いのに、WAFでの通信分析に時間を要するようでは、Webサイトの応答速度が低下してしまい、ユーザーの満足度に大きく影響します。WAFが通信のボトルネックになることがないよう、Webサイトのピークアクセスにさらに余裕を待たせたスペックのWAFを準備しておく必要があります。

②防御できる攻撃の種類とシグネチャの精度

どのような攻撃にも対応できるようにするためには、ハッキングや不正ログインなどの主要な攻撃は全て検知・防御できるWAFにすべきです。ただ対応しているだけでなく、攻撃パターンであるシグネチャの更新頻度も重要になります。多くの主要なWAFでは、運用上支障のないペースでシグネチャが更新されていますので、実績あるWAFを選べば大きな違いにはならない場合がほとんどです。

③初期環境構築や運用工数への影響

自社で環境構築や運用保守を行う前提であれば問題ありませんが、そうでない場合は比較的手間のかからないクラウド型WAFを中心に検討することが多いでしょう。一口にクラウド型WAFといっても、運用開始後のトラブル発生時にどこまでどのように対応してくれるかは、サービスやプラン次第になりますので、万一のトラブル発生時の想定が必要です。

例えば、WAFの誤検知で通信を遮断してしまった場合、正常な通信が遮断されて利用できない、という致命的な事態を招いてしまいます。そのような万が一の際に、メールやチャットで対応方法を一から確認している時間はありませんので、電話やリモート操作で即対応できる、というのは重要なポイントになります。

 

比較のポイントの補足:利用しやすいパブリッククラウドのWAF

AWSやMicrosoft AzureなどのパブリッククラウドでWebサイトなどを運用している場合は、AWSやAzureで提供されているWAFの利用も選択肢になります。サーバーと同じ管理コンソールで管理でき、WAFの追加や削除が容易です。AWS WAFでは、予め初期設定が行われているマネージドルールも提供されており、ほとんど初期設定を行わずに、ルールの適用だけで利用開始が可能です。

また、これらのサービスは利用時間や通信料などによる従量課金制のため、一時的にアクセスが増える場合や、期間限定でWebサイトやWebサービスを提供する場合にも向いています。

 

主なWAFの比較

中小規模のサイトで、「WAFの環境構築は自社で行う」を前提に、価格重視で最低限のWAFを利用したい場合で、パブリッククラウドを利用しているのであればパブリッククラウド提供会社が提供しているWAFの利用が安価です。

そうではなく、ある程度の運用を全て任せたいのであれば、クラウド型WAFでサポートが充実したサービスが適しています。大規模サイトで高速性と安定性重視であれば、アプライアンス型WAFがやはり最初の選択肢です。

WAFの資料をダウンロード

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

主なアプライアンス型WAF

Barracuda Web Application Firewall(バラクーダネットワークス)

Barracuda Web Application Firewall

(出所:Barracuda WAF公式Webサイト)

  • アプライアンス型WAFだけでなく、クラウド型WAF、AzureやAWS向けのWAFも提供している。
  • 小規模サイトから大規模サイトまで5つのモデルで対応。
  • ブルートフォース攻撃、インジェクション攻撃などの主要な攻撃に加えて、アップロードファイルのアンチウィルスや個人情報の違法コピーを防ぐデータ盗難プロテクション機能を保有。
  • 送信元のIPレピュテーション(送信元の信頼性の高さ)を同社独自のデータベースに蓄積しており、IPレプリケーションの程度に応じたアクセス制御が可能。
  • 価格は128万50000円(初年度保守込)から。

詳細はこちら

FortiWeb(フォーティネット)

FortiWeb

(出所:FortiWeb公式Webサイト)

  • ファイアウォールで世界的にシェアの高い同社のWAF。
  • 高速処理を実現するためのハードウェア性能を有するため、大規模サイトに適している。
  • AWSやAzureで動作する「FortiWeb on AWS」や「FortiWeb on Azure」もある。
  • 定期的なシグネチャ更新による防御だけでなく、機械学習エンジンを用いたゼロデイ攻撃対策もある。

詳細はこちら

 

主なクラウド型WAF

攻撃遮断くん(株式会社サイバーセキュリティクラウド)

攻撃遮断くん

(出所:攻撃遮断くん公式Webサイト)

  • 累計導入サイト数が10,000サイト以上の実績を有するクラウド型WAF。
  • SQLインジェクション、クロスサイトスクリプティング、ブルートフォースアタックなどの主要な攻撃に対応。
  • DNS切替え型に加えて、クラウドの監視センターへログ送信し、遮断命令を受けて攻撃を遮断するエージェント連動型もあり。

詳細はこちら

クラウドWAFセキュリティオペレーションサービス(株式会社NTTPCコミュニケーションズ)

クラウドWAFセキュリティオペレーションサービス

(出所:クラウドWAFセキュリティオペレーションサービス公式Webサイト)

  • 24時間365日の有人監視付のWAF。月額8万円から利用可能。
  • ECサイトのようなアクセスやトランザクションの多いサイトの実績も豊富。
  • 主要な攻撃に対応しているだけでなく、マルウェア対策などのIDS/IPS機能も保有。
  • 有人監視のセキュリティオペレーターセンターでは、攻撃対応時の対処や報告だけでなく、ログ分析による設定のチューニングも行ってくれるので、分析・改善作業まで任せることができる。

今すぐ資料をダウンロードする(無料)

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。


詳細はこちら

Amazon WAF(アマゾン)

AWS WAF

(出所:AWS WAF公式Webサイト)

  • SQL インジェクションやクロスサイトスクリプティングなど一般的な攻撃パターンに対応。分レベルの短時間で導入可能。
  • 初期設定が予め用意されたマネージドルールを利用できるので環境構築の負荷も小さい。
  • ただし、対象サーバーはAWS上のサーバーに限られる。
  • 小規模サイトであれば月数千円程度から利用できるサービス。

詳細はこちら

 

主なサーバーインストール型WAF

SiteGuard(株式会社ジェイピー・セキュア)

SiteGuard

(出所:SiteGuard公式Webサイト)

  • 100万サイト以上の導入実績を有する国産のWAF。
  • Webサーバー上でモジュールとして動作するホスト型と、リバースプロキシとして動作するゲートウェイ型がある。
  • シンプルなGUI上でセキュリティポリシーなどを設定できるので、設定に悩むことは少ない。
  • 1ライセンス252,000円(新規価格の場合。1年間の利用料。次年度以降は126,000円)
  • なお、さくらのクラウドの場合は、無料で「SiteGuard Server Edition」を利用することが可能。小規模サイトで、安価に堅牢なサイトを構築したい場合はコストパフォーマンスが高いと言える。

詳細はこちら

InfoCage SiteShell(日本電気株式会社)

InfoCage SiteShell

(出所:InfoCage SiteShell公式Webサイト)

  • Webサイトにインストールするタイプ。Webコンテンツ改ざん防止の監視オプションもあり。
  • SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクションなどの主要な攻撃に対応。
  • 年間ライセンスは60万円(保守付き)

詳細はこちら

 

まとめ

Webサイトを運営する企業にとって不可欠なWAF。大規模サイトで高速処理を前提にするのであれば、依然としてアプライアンス型WAFは安心ですが、一定の導入コストや運用負荷は必要です。ECサイトのようにアクセスの多いWebサイトにおいても中規模サイトまではクラウド型WAFで十分対応できることが増えています。WAFの動作が不安定だとWebサイトの利用に致命的な影響を与えますので、万一の自社での運用が不安であれば、どのようなタイプであれ、即時のサポートと、ログ分析などのチューニング支援が受けられるサービスを選ぶと安心です。

なお、WAFをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。

WAFの資料をダウンロード

利用規約プライバシーポリシーに同意の上、
資料をダウンロードしてください。

 

作り手の生の声が聞けるインタビューはこちら。

クラウドWAFセキュリティオペレーションサービス|インタビュー掲載

クラウドWAFセキュリティオペレーションサービス|インタビュー掲載

セキュリティアラートの有人監視および、シグネチャ更新やポリシーチューニング等を行う脅威分析専門ベンダによるSOCが標準で含まれるクラウド型のWAFです。SOCが...

利用規約プライバシーポリシーに同意の上、資料をダウンロードしてください。

 

このページの内容をシェアする

  • Facebook
  • Twitter
  • LINE
TOPへ戻る

資料ダウンロードフォーム

1分で簡単登録。無料

入力フォームはこちら

登録済みの方はこちら

パスワード再発行

アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。

アンケートにご回答ください。

サービスの導入検討状況を教えてください。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。利用規約とプライバシーポリシーに同意の上、ダウンロードいただきます。

ご回答ありがとうとございます。

ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。

CLOSE